Il Garante per la Privacy ha reso disponibile il modello per la segnalazione dei data breach ovverosia incidenti, informatici e non, da cui sia derivata una violazione dei dati personali

Con provvedimento prot. web n. 9126951 del 30 luglio 2019, il Garante della Privacy ha fornito nuove indicazioni e un nuovo modello per la notifica delle violazioni dei dati personali (data breach).

Nello specifico, ai sensi dell’art. 57, par. 1, lett. d), del Regolamento UE 2016/679 e dell’art. 37, comma 2, lett. b), del d.lgs. 51/2018:

  • a) i soggetti tenuti alla notifica delle violazioni dei dati personali forniscono al Garante, nell’adempiere all’obbligo previsto dall’art. 33 del Regolamento e dall’art. 26 del d.lgs. 51/2018, le informazioni di cui all’allegato modello, con le modalità di cui all’art. 65 del d.lgs. 82/2005, mediante i sistemi telematici indicati nel sito istituzionale del Garante;
  • b) i termini temporali, il contenuto e le modalità della comunicazione delle violazioni di dati personali indicati nel provvedimento sulle misure di sicurezza e modalità di scambio dei dati personali tra amministrazioni pubbliche del 2 luglio 2015 (punto 1), nelle linee guida in materia di Dossier sanitario del 4 giugno 2015 (punto 2), nel provvedimento generale prescrittivo in tema di biometria del 12 novembre 2014 (punto 2), nel provvedimento in materia di attuazione della disciplina sulla comunicazione delle violazioni di dati personali del 4 aprile 2013, nonché nel provvedimento recante prescrizioni in materia di circolazione delle informazioni in ambito bancario e di tracciamento delle operazioni bancarie del 12 maggio 2011 (punto 5.2), si intendono eliminati e sostituiti dalla lett. a) del presente provvedimento, secondo i termini di cui in motivazione.

Cosa si deve notificare

Incidenti, informatici e non, da cui sia derivata una violazione dei dati personali. Esempio: virus informatici, ricatti digitali o anche a smarrimenti o furti di computer e dispositivi portatili e così via.

Modello: le specifiche, i dati, le modalità di invio

  • Tipi: indicati tre tipi di violazioni; bisogna segnalare a quale appartenga il singolo episodio. Il primo tipo di violazione tocca la confidenzialità e consiste in una diffusione o in un accesso non autorizzato o accidentale; il secondo tipo riguarda, invece, la sfera della integrità e si manifesta in una modifica non autorizzata o accidentale; concernono la disponibilità dei dati, invece, l'impossibilità di accesso, la perdita, distruzione non autorizzata o accidentale.
  • Effetti : vanno indicati i potenziali danni per gli interessati, che possono attenere a danni economici, reputazionali, furti di identità, ecc.
  • Dettagli: il modello presenta spazi in cui descrivere compiutamente l'incidente di sicurezza, le categorie di dati personali violati, i sistemi e delle infrastrutture IT coinvolti nell'incidente, con indicazione della loro ubicazione e le misure di sicurezza tecniche e organizzative adottate per ripristinare la situazione ottimale e prevenire guai futuri.
  • Dati: nel modello va precisato bene quali dati abbiano subito l'attentato alla sicurezza. Può trattarsi di dati identificativi, di recapiti fisici e virtuali, alle credenziali di accesso a internet o piattaforme, dati su carte di credito o Pin, dati profilati o dati delicatissimi come quelli sensibili, giudiziari, biometrici o genetici. Il modello chiede di dare conto del numero, anche approssimativo, dei dati personali violati.
  • Comunicazione agli interessati: si deve indicare se la violazione è stata comunicata agli interessati o sta per esserlo. In caso negativo bisogna spiegare al Garante la ragione di questa mancata comunicazione. In caso di comunicazione bisogna dettagliare il numero di interessati a cui è stata comunicata la violazione, il contenuto della stessa e il canale utilizzato (sms, posta cartacea o elettronica, altro da specificare);
  • Modalità: se, per la notifica del data breach, si utilizza il modello allegato al provvedimento 30 luglio 2019, è necessario scaricarlo sul proprio dispositivo e successivamente procedere alla sua compilazione. La notifica deve essere inviata al Garante tramite posta elettronica all'indirizzo protocollo@pec.gpdp.it e deve essere sottoscritta digitalmente (con firma elettronica qualificata/firma digitale) oppure con firma autografa. In quest'ultimo caso la notifica deve essere presentata unitamente alla copia del documento d'identità del firmatario. L'oggetto del messaggio deve contenere obbligatoriamente la dicitura "notifica violazione dati personali" e opzionalmente la denominazione del titolare del trattamento.


  • Grafiche E. Gaspari Srl
  • Via M. Minghetti 18
  • 40057 Cadriano
  • di Granarolo Emilia (Bologna)
  • Certificazione ISO
  • Certificazione
    UNI EN ISO 9001
    per i servizi di stampa e postalizzazione

© Copyright 2019 Gaspari S.r.l.